При внедрении корпоративной мобильной системы (КМС) вопросы безопасности встают в полный рост. Незащищенность и сложность контроля – вот основные факторы риска, которые приходят в голову любому ИТ-директору при упоминании о мобильности. Ведь мобильные устройства потому и называются мобильными, что они не находятся на одном месте, а постоянно передвигаются. К тому же очевидно, что используются такие устройства в тех местах и при тех обстоятельствах, где и когда пользование обычными ПК затруднено: в транспорте, в аэропортах, на отдыхе и т.п.

Во всех этих ситуациях гаджеты наиболее подвержены рискам утери или кражи. «Любая новая степень свободы, которой является мобильность сотрудника, несет с собой новые угрозы для безопасности: прежде всего, речь идет об угрозах для корпоративных данных, – говорит директор по программным продуктам компании «Типовые Решения» Михаил Висман. – Очевидно, что контролировать мобильное устройство, особенно при BYOD, гораздо сложнее, чем стационарный терминал на территории офиса».

К тому же данные с пользовательских устройств передаются не по защищенной корпоративной сети, а через общедоступные каналы связи, а значит, они, как и сами устройства, становятся подверженными рискам кражи и потери. Поэтому смартфоны, планшеты и другие «мобильные любимцы» сотрудников остаются предметом постоянного беспокойства как сисадминов, так и офицеров службы безопасности.

«Активный обмен конфиденциальной корпоративной информацией зачастую приводит к ее утечкам, а из-за увлечения концепцией BYOD значительно повысилось число нарушений безопасности, обходящихся компаниям в немалые суммы, – комментирует руководитель группы консультантов по безопасности компании Check Point Software Technologies Антон Разумов. – Но, несмотря на это, корпоративная информация, в том числе конфиденциальные данные клиентов, все чаще хранится на персональных мобильных устройствах, находящихся вне контроля ИТ-отделов».

Помимо всего прочего, мобильное устройство, независимо от его принадлежности, работает в сети оператора, а, следовательно, не застраховано от тех же опасностей, что и большинство сотовых телефонов. «К вопросу о безопасности на B2B рынке стоит подходить с двух точек зрения, – напоминает Сергей Хренов, директор департамента по предотвращению мошенничества компании «Мегафон». – Во-первых, это безопасность передаваемой информации, а во-вторых – безопасность средств на мобильном счете сотрудника».

Наглядное представление о том, что происходит сейчас в сфере мобильной безопасности, дает исследование «Влияние мобильных устройств на безопасность информации», недавно проведенное аналитическим агентством Dimentional Research по заказу Check Point. Согласно результатам этого исследования, в большинстве компаний (79%) в мире в 2012 году происходили утечки информации через мобильные устройства, повлекшие за собой значительные убытки. Каждая шестая компания потеряла от «мобильных утечек» более $0,5 млн., а в 42% организаций ущерб от утечки мобильных данных превысил 100 тысяч долларов.

Необходимо заметить, что и производители мобильных систем безопасности не сидят сложа руки. По данным IDC, объем рынка мобильных приложений для безопасности в 2016 г. составит $2,5 млрд, что соответствует почти четырехкратному росту в сравнении с 2011 г. ($628 млрд).

Аспект безопасности неразрывно связан с проблематикой управления мобильным контуром. Армия личных мобильных устройств, разросшаяся в результате «стихийного BYOD», становится практически неуправляемой и, следовательно, по определению небезопасной. Вопросы безопасности как таковой и управления мобильным контуром идут рука об руку при разработке и реализации политики мобильной безопасности предприятия.

Хотя в России мобилизация бизнеса пока развита не так сильно, как в странах Запада, положительная тенденция здесь явно есть – со стороны бизнеса проявляется устойчивый спрос на эти технологии, и мобильность «ставится на конвейер». Как правило, при внедрении КМС в организации доступ к мобильным приложениям получают не все сотрудники сразу: обычно охват мобильными сервисами начинается с ограниченной группы пользователей. Именно период пилота и пробной эксплуатации системы, когда группа «мобилизованных» работников предприятия еще немногочисленна, является наиболее удачным для выработки политики и тестирования основных приложений мобильной безопасности.

«Потенциальные риски мобильности фактически являются обратной стороной ее технических преимуществ», – отмечает технический директор «Арбайт Компьютерс» Антон Ступин. Эксперты выделяют несколько основных видов угроз, характерных для корпоративных мобильных систем в целом и для BYOD в частности. Основная масса рисков связана с тем, что мобильные устройств находятся вне периметра безопасности организации и, следовательно, вне контроля ИТ и службы безопасности. Соответственно, классические методы обеспечения сохранности данных, находящихся на самом устройстве, в данном случае бессильны: гаджет подконтролен лишь владельцу, а администрация предприятия в определенной степени становится заложником «доброй воли» работника. «Поэтому, строго говоря, BYOD подходит только для обмена данными, которые организации не страшно потерять», – считает Михаил Висман. Наряду с угрозой добровольной или недобровольной выдачи корпоративной информации, не менее остро стоит и проблема кражи/утери мобильного устройства.

В настоящее время все чаще практикуется кража данных из-за возросшей конкуренции и развития киберпреступности в целом. Мобильные устройства особо подвержены этой проблеме. Похитить смартфон гораздо легче, чем стационарный компьютер или ноутбук, и с этой точки зрения «мобилизация» представляет собой настоящий рай для злоумышленников.

Помимо угрозы утраты конфиденциальных данных (равно как и личного мобильного устройства, которое стоит недешево), следует помнить о потенциальной опасности для работника, в руках которого находится гаджет. «Введение мобильных бизнес-приложений часто требует более точного протоколирования в КИС перемещений мобильного устройства, – предостерегает Михаил Висман. – Такая информация, в случае попадания ее к третьим лицам, может представлять определенную угрозу для самого сотрудника».

Проблему усугубляет тот факт, что массовые программные продукты, предотвращающие несанкционированный доступ к данным на устройстве (пароль, «залочивание» смартфона), пока не слишком эффективны, а каких-либо жестких нормативов, регламентирующих применение адекватных мер защиты, не существует. Да и вряд ли большинство пользователей согласится осложнять себе жизнь установкой профессионального пароля, который трудно взломать. «Аутентификация со сложным паролем, очевидно, будет неудобна для пользователя, – комментирует Антон Разумов. – Кто из нас готов вводить хотя бы восьмисимвольный код доступа каждый раз, когда надо отправить SMS?».

Но определенные шаги в этом направлении уже сделаны. Например, на Западе принят стандарт, обязывающий производителей встраивать в свои продукты функцию форматирования памяти мобильного устройства по команде с удаленного компьютера. Этот документ, называющийся «Guidelines for Managing and Securing Mobile Devices», в силу новизны предметной области лишь недавно увидел свет. Тем не менее, это, несомненно, достойная уважения попытка собрать воедино и формализовать все исходные данные и правила игры на поле, называемом корпоративной мобильностью.

Автор искренне надеется, что российский регулятор в обозримом будущем примет подобный свод правил. Возвращаясь к проблеме утери или кражи мобильных устройств, следует заметить, что практически все без исключения системы управления парком мобильных устройств – MDM – содержат в себе такой функционал. Отрадно и то, что все больше производителей потребительских (то есть не предназначенных специально для промышленного использования) мобильных устройств, включают поддержку этой функции в свои модели.

В последнее время все большую популярность приобретает реализация корпоративной мобильной системы по принципу BYOD, когда каждый сотрудник использует свое личное мобильное устройство (смартфон или планшет) как в частных, так и в корпоративных целях.

Построение системы по данному принципу, с одной стороны, сулит значительную экономию для предприятия, а с другой – еще больше усложняет и без того непростой вопрос мобильной безопасности. «Если с корпоративными гаджетами все более-менее понятно, и организация может полностью задавать политику их использования, то для персональных устройств не все так очевидно, – говорит Антон Разумов. – Здесь нужен компромисс между уровнем безопасности бизнес-приложений, удобством пользователя и персональными потребностями владельца устройства». Ведь мобильное устройство принадлежит сотруднику, а не корпорации, и, следовательно, администрация не может «приказать» работнику сдать личный гаджет, например, при увольнении.

Остро стоит и вторая проблема, связанная с разделением частной и корпоративной информации в рамках устройства, используемого по схеме BYOD. Администрация предприятия вправе и обязана следить за безопасностью корпоративной информации, находящейся на мобильном устройстве, и контролировать ее использование, но вмешательство в персональную информацию сотрудника, размещенную на том же устройстве, чтение его контактов, отслеживание перемещения сотрудника в нерабочее время является недопустимым.

Усиливая контроль над BYOD-устройством, руководство автоматически снижает удобство пользования и ограничивает частные потребности сотрудников. Еще один тонкий момент возникает при использовании различных облачных хранилищ. Облачные сервисы очень популярны среди частных пользователей, но вряд ли их работодатели морально готовы к тому, что конфиденциальная корпоративная информация может оказаться в iCloud или Dropbox. С другой стороны, запрет пользования данными ресурсами вновь приведет к ограничениям прав сотрудника.

Очевидно, что запрет не является в данном случае эффективным методом руководства. Для удобного и безопасного применения концепции BYOD нужно стремиться искать компромисс. «Я вижу такой компромисс в помещении корпоративных данных в «защищенный контейнер» – изолированную виртуальную среду внутри пользовательского устройства, – рассуждает Антон Разумов. – Именно здесь должны находиться корпоративные почта, календарь и контакты. А стандартные сервисы телефона пользователь может использовать для личных нужд – ведь, в конце концов, это его личное устройство».

Разбиение мобильного гаджета на два фактически не зависящих друг от друга виртуальных устройства, одно из которых содержит личную, а второе — служебную информацию, предусмотрено вышеупомянутым документом «Guidelines for Managing and Securing Mobile Devices» и реализуется при помощи большинства программ MDM и MDS. Осталось сделать так, чтобы сотрудники приобретали именно те устройства, которые поддерживают все необходимые по соображениям безопасности сервисы. И здесь все находится в руках администрации предприятия: комплекс мер по стимуляции приобретения сотрудниками гаджетов с необходимым функционалом должен быть подготовлен на этапе разработки мобильной политики организации.

Внедряемая система корпоративной мобильности должна обеспечивать управляемость и контроль над всеми сетевыми элементами, включая мобильные устройства. Вопрос реализации такой системы на базе существующего ДИТ предприятия зачастую упирается в отсутствие необходимого опыта и квалификации. На практике, многие предприятия, внедрившие BYOD, пошли по пути реализации функций управления мобильным контуром путем аутсорсинга этих функций оператору, предлагающему услуги так называемого «облачного сисадмина».

Функция/задача	Наполнение
Управление приложениями	Разработка мобильных приложений для основных платформ; Разработка и отладка механизма загрузки и обновления приложений (желательно избежать порталов самообслуживания, т.е AppStore, Google Play); Установка, удаление и апдейт / апгрейд мобильных приложений на устройства сотрудников;
Управление полномочиями сотрудников	Наделение и лишение прав доступа к приложениям; Применение и изменения политик
Управление трафиком	Оптимизация расходов на трафик; Контроль и ограничение обмена трафиком с открытыми облачными хранилищами (Dropbox и проч.); Анализ входящего/исходящего трафика, в особенности на облачные хранилища вроде Dropbox;
Активная защита устройства	Аудит уязвимостей; Аудит установленных приложений; Периодическое резервное копирование устройства; Периодическая обработка антивирусом;
Дистанционное управление устройством через облачную консоль	Теневое копирование содержимого корпоративной зоны устройства; Отслеживание перемещений устройства в разрешенных законом рамках; Исключение использования корпоративной зоны и ее содержимого в случае увольнения сотрудника; Блокировка устройства и стирание содержимого в случае кражи или утери устройства.

В подавляющем большинстве случаев в роли такого оператора выступает компания-интегратор, внедрявшая мобильную систему на данном предприятии. Таким образом, взаимоотношения заказчика и подрядчика не прерываются, а переходят в фазу долгосрочного партнерства. Именно по этой причине крайнюю важность имеет тщательный выбор компании-внедренца на этапе подготовки проекта.

По всей видимости, указанный вариант развития событий является трендом, и будущее за передачей функций обслуживания и безопасности внешнему оператору. Вероятно, это касается не только мобильных сетей. При этом происходит трансформация функций ИТ-департамента от технической поддержки и обеспечения работоспособности оборудования к консультированию и принятию комплекса мер по ускорению и оптимизации обмена информацией в бизнес-процессах.